Die DNS-Server von Kabel Deutschland geben keine gefälschten Antworten mehr zurück. Der Kabelanbieter hat diese Praxis vor etwa zwei Wochen aufgegeben. Das stellte ZDNet im Rahmen seiner regelmäßigen Stichproben Ende Juni fest.
Zuvor lieferten die Nameserver auf falsch eingetippte Domains wie www.zdnett.de oder www.fehsbuk.com einen gefälschten A-Record mit einer IP-Adresse von Infospace zurück. Anwender landeten dann auf einer Suchseite des dubiosen Anbieters, die wie eine Webseite von Kabel Deutschland aufgemacht war und sich „Kabel Deutschland DNS-Assistance“ nannte.
Die Modifikation von DNS-Antworten verstößt gegen das Prinzip der Netzneutralität. Rekursiv antwortende DNS-Server dürfen Anfragen von Benutzern nur so beantworten, wie es der Domain-Inhaber festgelegt hat. Die Beantwortung von nicht existierenden Second-Level-Domains mit eigenmächtig eingesetzten IP-Adressen ist ein Eingriff in die Souveränität der Top-Level-Domain-Inhaber, etwa der DENIC (.de) oder Verisign (.com und .net), die sich gemäß der Empfehlung der ICANN gegen ein Wildcarding ihrer Domains entschieden haben.
Kabel Deutschland begründete seine Entscheidung ausschließlich mit technischen Problemen. Unternehmenssprecherin Kathrin Wittmann sagte heute auf Nachfrage gegenüber ZDNet, einige Kunden hätten Anwendungen, beispielsweise Toolbars bestimmter Anbieter, nicht wie gewohnt nutzen können. Dieser Schritt sei daher zum „jetzigen Zeitpunkt“ die beste Lösung, um das höchste Maß an Komfort zu bieten.
Tatsächlich treten jedoch sehr viel gravierendere Probleme auf. E-Mails, die an nicht existierende Domains versandt werden, kommen meist erst nach mehreren Tagen mit einer Fehlermeldung zurück, weil der Mailer über die Existenz der Domain belogen wird. So geht er davon aus, dass seine Gegenstelle nur ein vorübergehendes Problem hat, und versucht die Mail immer wieder zuzustellen. Bekäme er stattdessen vom DNS-Server die korrekte Antwort NXDOMAIN, würde er den Absender unmittelbar über seinen Vertipper informieren.
Probleme gibt es auch mit sehr hohen Time-Out-Werten beim SMB/CIFS-Protokoll, das im Internet immer häufiger genutzt wird, da sich Festplatten im Netz wie Stratos HiDrive steigender Beliebtheit erfreuen. Das ICANN-Sicherheitskomitee hat die zahlreichen technischen Probleme bereits im Januar 2008 in einer Studie (PDF) dargelegt.
Unterdessen fälschen andere Anbieter wie T-Online, Versatel und Alice (demnächst O2) fleißig weiter. Sie bieten allerdings in ihren jeweiligen Kundencentern an, die DNS-Fälschungen abzuschalten (Opt-Out). Mehrere Alice-Nutzer berichteten gegenüber ZDNet, dass die Abschaltung der Fälschungen nicht von Dauer sei. Wer sie deaktiviert, hat nach spätestens ein bis zwei Monaten wieder die unerwünschte Suchseite auf seinem Bildschirm.
Kabel Deutschland nannte stattdessen eine gebührenfreie Telefonnummer, unter der man die DNS-Modifikation angeblich abschalten lassen könne. Testanrufe ergaben jedoch, dass sich die Mitarbeiter in der Regel außer Stande sahen, den Anschluss auf Opt-Out-DNS-Server von Kabel Deutschland umzustellen, beispielsweise 83.169.184.162 oder 83.169.184.226. Auch die Testanrufe von Heise.de brachten nur mäßigen Erfolg.
Neueste Kommentare
1 Kommentar zu Kabel Deutschland beendet DNS-Fälschungen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Sauerei!
Danke an ZDNet mal auf die E-Mail-Problematik aufmerksam zu machen, steigert die Erfahrung bei evt. auftretenden Problemen, wieder was dazu gelernt. Bitte bleiben Sie so, ich nehme immer sehr viel technische Zusammenhänge aus Ihren Artikeln mit. Gibt es eigentlich ein Printmagazin, womit man sie finanziell unterstützen könnte?